实验报告
课题:在word中插入木马
系院:计算机科学技术系
专业:计算机网络技术
班级:10网1
学号:**********
姓名:***
指导老师:***
引言 3
第一章 什么是木马 3
1.1木马简介 3
1.1.1木马攻击原理 3
1.1.2木马的功能 3
1.2木马植入方式 4
1.2.1利用共享和Autorun文件 4
1.2.2把木马转换为BMP格式 5
1.2.3利用错误的MIME头漏洞 5
1.2.4在word中加入木马文件 6
1.2.5通过Script、Active及ASP、CGI交互脚本的方式植入 6
1.3木马常见的四大伪装欺骗行为 6
1.3.1以Z—file伪装加密程序 6
1.3.2将木马包装为图片文件 7
1.3.3合并程序欺骗 7
1.3.4伪装成应用程序扩展组件 8
第二章 利用office系列挂马工具全套在word中插入木马 8
2.1office系列挂马工具全套的工作原理 8
2.2在word中插入木马的过程 9
2.3带有木马的word的危害 15
第三章 木马的防范措施 16
2.1如何防御木马病毒·················································16
3.2如何删除木马病毒·················································16
结论 17
参考文献 18
谢辞 18
附录
引言:
伴随着Windows操作系统核心技术的日益成熟,“木马植入技术”也得到发展,使得潜入到系统的木马越来越隐蔽,对网络安全的危害性将越来越大。所以,全面了解木马植入的方法和技术,有助于采取有力的应对措施,同时也有助于促进信息对抗技术的发展。本实验来了解木马和木马植入技术,学习几种在Winndows下向office中植入木马的技术。
第一章 什么是木马
1.1木马简介
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
1.1.1 木马攻击原理
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定具体位置,往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分不能操作权限,包括修改文件,修改注册表,
控制鼠标、键盘等等,而这些权利并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段:
最初网络还处于一UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着Windows平台的日益普及,一些基于操作的木马程序就出现了,用户界面的改善,使使用者不用动太多的专业知识就可以熟练地操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
1.1.2 木马的功能
木马和病毒都是一种人为的程序,都属于电脑病毒,但他们也有区别,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码、数据等,如盗窃管理员密码、子网密码搞破坏,或者偷窃上网密码用于他用,游戏账号、股票账号,甚至网上银行账户等。达到偷窥别人隐私和得到经济利益的目的。所以木马的作用比早期的电脑病毒更加有用,能够直接到达使
用者的目的。导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因。鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来。独立的称之为“木马”程序。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”的去感染其他文件,他通过将自身伪装吸引用户下载,使施种者可以任意毁坏、窃取被施种者的文件,甚至远程操控被施种者的电脑。
一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被施种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个的端口被打开,是黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了。
1.2木马植入方式
木马是大家网上安全的一大隐患,说是大家心中永远的痛也不为过。对于木马采用敬而远
之的态度并不是最好的方法,我们必须更多地了解其“习性”和特点,只有这样才能做到“知己知彼,百战不殆”!随着时间的推移,木马的植入方式也悄悄地发生了一定的变化,较之以往更加的隐蔽,对大家的威胁也更大,以下是笔者总结的五种最新的木马植入方式,以便大家及时防范。
1.1.1 利用共享和Autorun文件
为了学习和工作方便,有许多学校或公司的局域网中会将硬盘共享出来。更有甚者,竟将某些硬盘共享设为可写!这样非常危险,别人可以借此给您下木马!利用木马程序结合Autorun.inf文件就可以了。方法是把Autorun.inf和配置好的木马服务端一起复制到对方D盘的根目录下,这样不需对方运行木马服务端程序,只需他双击共享的磁盘图标就会使木马运行!这样作对下木马的人来说的好处显而易见,那就是大大增加了木马运行的主动性!许多人在别人给他发来可执行文件时会非常警惕,不熟悉的文件他们轻易不会运行,而这种方法就很难防范了。
下面就简单说一下原理。大家知道,将光盘插入光驱会自动运行,这是因为在光盘根目录下有个Autorun.inf文件,该文件可以决定是否自动运行其中的程序。同样,如果硬盘的根
目录下存在该文件,硬盘也就具有了AutoRun功能,即自动运行Autorun.inf文件中的内容。
把木马文件.exe文件以及Autorun.inf放在磁盘根目录(这里假设对方的D盘共享出来且可写),对于给您下木马的人来说,他还会修改Autorun.inf文件的属性,将该文件隐藏起来。这样,当有人双击这个盘符,程序就运行了。这一招对于经常双击盘符进入“我的电脑”的人威胁最大。更进一步,利用一个.REG文件和Autorun.inf结合,还可以让你所有的硬盘都共享出去!
